Automatisierung in Microsoft Sentinel: Sicherheitsorchestrierung, Automatisierung und Reaktion (Security Orchestration, Automation and Response, SOAR)

• Gilt für:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Teams für Security Information & Event Management (SIEM) und Security Operations Center (SOC) werden regelmäßig mit Sicherheitswarnungen und -vorfällen überschwemmt, und zwar in einem so großen Umfang, dass das verfügbare Personal überfordert ist. Dies führt häufig dazu, dass viele Alarme ignoriert und viele Incidents nicht untersucht werden, wodurch ein Unternehmen anfällig für Angriffe wird, die unbemerkt bleiben.

Microsoft Sentinel ist nicht nur ein SIEM-System, sondern auch eine Plattform für Sicherheitsorchestrierung, Automatisierung und Reaktion (SOAR). Einer der Hauptzwecke besteht darin, wiederkehrende und vorhersagbare Anreicherungs-, Reaktions- und Problembehandlungsaufgaben zu automatisieren, die in die Verantwortung Ihres Security Operations Center und -Personals (SOC/SecOps) fallen, und so Zeit und Ressourcen für eine ausführlichere Untersuchung und Suche nach erweiterten Bedrohungen freizugeben.

In diesem Artikel werden die Funktionen für SOAR von Microsoft Sentinel vorgestellt. Außerdem wird erläutert, wie durch Verwendung von Automatisierungsregeln und Playbooks als Reaktion auf Sicherheitsbedrohungen die Effektivität Ihres SOC erhöht wird und Sie Zeit und Ressourcen sparen.

Wichtig

Microsoft Sentinel ist als Teil der vereinheitlichten Security Operations-Plattform im Microsoft Defender-Portal verfügbar. Microsoft Sentinel im Defender-Portal wird jetzt für die Produktionsverwendung unterstützt. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Automatisierungsregeln

Microsoft Sentinel verwendet Automatisierungsregeln, um Benutzern die Verwaltung der Automatisierung zur Behandlung von Vorfällen von einem zentralen Standort aus zu ermöglichen. Verwenden Sie Automatisierungsregeln zum:

• Zuweisen erweiterter Automatisierung zu Vorfällen und Warnungen mithilfe von Playbooks
• Automatischen Markieren, Zuweisen oder Schließen von Vorfällen ohne Playbook
• Automasieren von Reaktionen für mehrere Analyseregeln gleichzeitig
• Erstellen von Listen mit Aufgaben für Ihre Analysten, die bei der Triagierung, Untersuchung und Behebung von Vorfällen ausgeführt werden sollen
• Steuern der Reihenfolge der ausgeführten Aktionen

Es wird empfohlen, Automatisierungsregeln anzuwenden, wenn Vorfälle erstellt oder aktualisiert werden, um die Automatisierung weiter zu optimieren und komplexe Workflows für Ihre Vorfall-Orchestrierungsprozesse zu vereinfachen.

Weitere Informationen finden Sie unter Automatisierung der Reaktion auf Bedrohungen in Microsoft Sentinel mit Automatisierungsregeln.

Playbooks

Ein Playbook ist eine Sammlung von Reaktions- und Problembehandlungsmaßnahmen und -logik, die von Microsoft Sentinel als Routine ausgeführt werden können. Ein Playbook kann:

• Helfen, Ihre Reaktion auf Bedrohungen zu automatisieren und zu orchestrieren
• Integration in andere Systeme, sowohl intern als auch extern
• So konfiguriert werden, dass es automatisch als Reaktion auf bestimmte Warnungen oder Vorfälle oder bei Bedarf manuell ausgeführt wird, z. B. als Reaktion auf neue Warnungen

In Microsoft Sentinel basieren Playbooks auf Workflows, die in Azure Logic Apps erstellt wurden, einem Clouddienst, mit dem Sie Aufgaben und Workflows systemübergreifend im gesamten Unternehmen planen, automatisieren und orchestrieren können. Dies bedeutet, dass Playbooks von der Leistungsfähigkeit und der Anpassbarkeit der Integrations- und Orchestrierungsfunktionen von Logic Apps und den benutzerfreundlichen Entwurfstools sowie der Skalierbarkeit, der Zuverlässigkeit und dem Servicelevel eines Tarif 1-Azure-Diensts profitieren können.

Weitere Informationen finden Sie unter Automatisieren der Bedrohungsabwehr mit Playbooks in Microsoft Sentinel.

Automatisierung mit der einheitlichen Security Operations-Plattform

Beachten Sie nach dem Onboarding Ihres Microsoft Sentinel-Arbeitsbereichs auf der einheitlichen Security Operations-Plattform die folgenden Unterschiede in der Art und Weise, wie Automatisierungsfunktionen in Ihrem Arbeitsbereich funktionieren:

Funktionalität	Beschreibung
Automatisierungsregeln mit Warnungstriggern	Auf der einheitlichen Security Operations-Plattform reagieren Automatisierungsregeln mit Warnungstriggern nur bei Microsoft Sentinel-Warnungen. Weitere Informationen finden Sie unter Erstellen von Triggern aus Warnungen.
Automatisierungsregeln mit Incidenttriggern	Sowohl im Azure-Portal als auch auf der einheitlichen Security Operations-Plattform wird die Bedingungseigenschaft Incidentanbieter entfernt, da alle Incidents Microsoft Defender XDR als Incidentanbieter haben (der Wert im Feld ProviderName). Zu diesem Zeitpunkt werden alle vorhandenen Automatisierungsregeln sowohl für Microsoft Sentinel- als auch für Microsoft Defender XDR-Incidents ausgeführt, einschließlich derer, bei denen die Bedingung Incidentanbieter nur auf Microsoft Sentinel oder Microsoft 365 Defender festgelegt ist. Automatisierungsregeln, die einen bestimmten Analyseregelnamen angeben, werden jedoch nur für die Incidents ausgeführt, die von der angegebenen Analyseregel erstellt wurden. Dies bedeutet, dass Sie die Bedingungseigenschaft Analyseregelname mit einer Analyseregel definieren können, die nur in Microsoft Sentinel vorhanden ist, um Ihre Regel auf Incidents ausschließlich in Microsoft Sentinel zu beschränken. Weitere Informationen finden Sie unter Bedingungen für Incidenttrigger.
Änderungen an vorhandenen Incidentnamen	In der einheitlichen SOC-Betriebsplattform verwendet das Defender-Portal ein eindeutiges Modul, um Incidents und Warnungen zu korrelieren. Wenn Sie Ihren Arbeitsbereich in die einheitliche SOC-Betriebsplattform integrieren, werden vorhandene Incidentnamen möglicherweise geändert, wenn die Korrelation angewendet wird. Um sicherzustellen, dass Ihre Automatisierungsregeln immer korrekt ausgeführt werden, wird daher empfohlen, die Verwendung von Incidenttiteln in Ihren Regeln zu vermeiden und stattdessen Tags zu verwenden.
Feld Aktualisiert durch	Nach dem Onboarding Ihres Arbeitsbereichs verfügt das Feld Aktualisiert durch über neue unterstützte Werte, die Microsoft 365 Defender nicht mehr enthalten. In vorhandenen Automatisierungsregeln wird Microsoft 365 Defender nach dem Onboarding Ihres Arbeitsbereichs durch den Wert Andere ersetzt. Wenn mehrere Änderungen am selben Incident in einem Zeitraum von 5 bis 10 Minuten vorgenommen werden, wird ein einzelnes Update an Microsoft Sentinel mit ausschließlich der letzten Änderung übermittelt. Weitere Informationen finden Sie unter Trigger für Incidentupdates.
Automatisierungsregeln zum Hinzufügen von Incidentaufgaben	Wenn eine Automatisierungsregel eine Incidentaufgabe hinzufügt, wird die Aufgabe nur im Azure-Portal angezeigt.
Microsoft-Regeln zum Erstellen von Incidents	Microsoft-Regeln zur Erstellung von Incidents werden auf der einheitlichen Security Operations-Plattform nicht unterstützt. Weitere Informationen finden Sie unter Microsoft Defender XDR-Vorfälle und Microsoft-Vorfallerstellungsregeln.
Ausführen von Automatisierungsregeln aus dem Defender-Portal	Es kann bis zu 10 Minuten dauern, bis eine Automatisierungsregel ausgeführt wird, nachdem eine Warnung ausgelöst und ein Incident im Defender-Portal erstellt oder aktualisiert wurde. Diese Verzögerung ist darauf zurückzuführen, dass der Incident im Defender-Portal erstellt und dann an Microsoft Sentinel für die Automatisierungsregel weitergeleitet wird.
Registerkarte „Aktive Playbooks“	Nach dem Onboarding auf der einheitlichen Security Operations-Plattform wird auf der Registerkarte Aktive Playbooks standardmäßig ein vordefinierter Filter mit dem Abonnement des integrierten Arbeitsbereichs angezeigt. Fügen Sie im Azure-Portal mithilfe des Abonnementfilters Daten für andere Abonnements hinzu. Weitere Informationen finden Sie unter Erstellen und Anpassen von Microsoft Sentinel-Playbooks aus Inhaltsvorlagen.
Manuelles Ausführen von Playbooks bei Bedarf	Die folgenden Verfahren werden auf der einheitlichen Security Operations-Plattform aktuell nicht unterstützt: Manuelles Ausführen eines Playbooks für eine Warnung Manuelles Ausführen eines Playbooks für eine Entität (Vorschau)
Das Ausführen von Playbooks nach Incidents erfordert die Microsoft Sentinel-Synchronisierung	Wenn Sie versuchen, ein Playbook für einen Incident von der einheitlichen Security Operations-Plattform aus auszuführen und die Meldung „Auf Daten zu diesem Vorgang kann nicht zugegriffen werden. Aktualisieren Sie den Bildschirm in ein paar Minuten.“ angezeigt wird, bedeutet dies, dass der Vorfall noch nicht mit Microsoft Sentinel synchronisiert wurde. Aktualisieren Sie die Incidentseite, nachdem der Vorfall synchronisiert wurde, um das Playbook erfolgreich auszuführen.

Zugehöriger Inhalt

• Automatisieren der Bedrohungsabwehr in Microsoft Sentinel mit Automatisierungsregeln
• Automatisieren der Bedrohungsabwehr mit Playbooks in Microsoft Sentinel
• Erstellen und Verwenden von Microsoft Sentinel-Automatisierungsregeln zur Response-Verwaltung